Oracle poinformowała o krytycznej podatności w systemie PeopleSoft, którą hakerzy z grupy ShinyHunters już masowo wykorzystywali do przejmowania systemów co najmniej 100 firm. Luka, oznaczona numerem CVE-2026-35273, ma najwyższą możliwą ocenę 9.8 w skali CVSS i pozwala na zdalne ataki bez konieczności autentykacji. Czyli każdy w internecie potencjalnie może ją eksploatować. Problemem jest to, że Oracle wciąż nie wydało żadnej poprawki.
PeopleSoft to powszechnie używane oprogramowanie do zarządzania zasobami ludzkimi i finansowymi w dużych przedsiębiorstwach. Tego typu systemy przechowują wrażliwe dane pracowników, informacje finansowe i inne krytyczne dane biznesowe. Когда luka o takim zagrożeniu pozostaje nienaprawiona przez dłuższy czas, staje się wyjątkowo atrakcyjna dla przestępców cybernetycznych.
Sytuacja ilustruje szerszy problem w branży — luki zero-day, które nie zostały jeszcze zapatrywane, mogą być masowo wykorzystywane zanim dostawca ma szansę wydać poprawkę. Firmy korzystające z PeopleSoft powinny natychmiast sprawdzić czy zostały zaatakowane i rozważyć alternatywne środki ochrony. Ostrzeżenia Oracle'a bez dostępnej poprawki pozostawiają administratorów w bardzo trudnej sytuacji.